Big Data a bezpečnost Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o. CESNET Community Fórum
Zabezpečená data...... jsou data, která: jsou chráněna obsahově. Uživatel by neměl spoléhat na poskytovatele služby, poskytovatel služby se nepostará o ochranu obsahu dat, uživatel musí věřit sobě a musí se na bezpečnosti svých dat podílet. jsou ukládána do zdravé a chráněné infrastruktury. To znamená infrastruktury monitorované, s kontinuálním vyhodnocováním a řešením anomálních projevů přenosové infrastruktury a infrastruktury služeb (DÚ).
Bezpečnost dat NE! Ochrana konkrétních dat (obsahu) Ochrana přenosové infrastruktury a infrastruktury DÚ ANO! Zahrnuje schopnost detekovat: pokusy o průlom záplavové útoky stavy omezující schopnost uživatele přistupovat ke službě (datům) monitoring na pomezí provozu a bezpečnosti
Monitoring Sledujeme, jaký je provoz vůči DÚ infra Monitoring a kalibrace monitoringu per lokalita, Nagios hlášení anomálních stavů IP provoz (FTAS) top listy podle zdrojů, podle cílů jaký je provoz vůči DÚ koresponduje statistika s tím, jak by provoz měl vypadat? Síťové a koncové prvky infrastruktury (G3) využití a stav linek vyhodnocení provozu paketové rychlosti, útoky hrubou silou
Monitoring Sledujeme, jaký je provoz vůči DÚ infra Monitoring a kalibrace monitoringu per lokalita, Nagios hlášení anomálních stavů IP provoz (FTAS) top listy podle zdrojů, podle cílů jaký je provoz vůči DÚ koresponduje statistika s tím, jak by provoz měl vypadat? Síťové a koncové prvky infrastruktury (G3) využití a stav linek vyhodnocení provozu paketové rychlosti, útoky hrubou silou umíme rozpoznat provozní problém a bezpečnostní problém umíme rozpoznat pokusy infrastrukturu a data zneužít máme naskladněné informace pro ex post analýzu
Charakter provozu CESNET2
Charakter provozu DÚ Uživatele v jejich činnosti (při práci s DÚ) neorganizujeme používají DÚ jak chtějí a potřebují zálohují nahodile sdílejí nahodile zátěž infrastruktury je pseudonáhodná Provoz infrastruktury DÚ skokový, nahodilý charakter přenosů z minuty můžeme pozorovat nárůst přenosů o několik GB uživatel ukládá velký objem dat = může se jevit jako anomálie
Charakter provozu DÚ
3 poselství Dbáme o bezpečnost CESNET2 a o bezpečnost infrastruktur služeb (DÚ) Máme nástroje a technologie, ale nespoléháme se pouze na automatizaci, spoléháme se na schopné a gramotné správce Uživatel musí přiložit ruku k dílu
Uživatel Uživatel nesmí věřit svému poskytovateli služeb! Uživatel by měl přemýšlet: s jakými daty pracuje jaká data může do DÚ poslat citlivá data šifrovat Zálohujte!!! Je to často dobrá ochrana před ztrátou dat zaviněnou prolomením zabezpečení primárního úložiště dat viz kauzy vyděračského malware co zašifruje data Provozovatel (CESNET) zajistí bezpečnost a zdraví přenosové a DÚ infrastruktury, ale nezajistí zabezpečení (obsahu) dat!
Může být hůř... Příklad: Software v cloudu často nemusí být pod správou vlastníka cloudu, ale software spravuje samotný uživatel zneužití zranitelnosti neaktualizovaného sw zneužití špatné konfigurace Kromě získání dat i potenciální zdroj samotných útoků ohrožení DÚ ohrožení infrastrukty
Další nástroje Dedikované sondy Flow Probe 10/100 Gb sondy pro měření linek v prostředí Big Data (možnost zapojit jako 10x 10 Gb) Generování záznamů o komunikaci bez ztráty paketů díky hardwarové akceleraci Přesná časová značka Měření L3/L4, možnost jít až do L7 (např. kontrola URL při stahování malware) Zvýšení detailu v případě podezřelé komunikace Export dat pomocí NetFlow v9 a IPFIX Kolektor IPFIXcol Vysoce výkonný kolektor pro sběr velkého množství dat Rozšiřitelná struktura záznamu o komunikaci Podpora NetFlow v5, v9, IPFIX
Další nástroje Analýza Nemea Vysoce výkonné prostředí pro analýzu velkého množství sbíraných dat Detekce síťových i aplikačních událostí Skenování, DoS Útoky na SSH, HeartBleed, Shell shock Amplifikační útoky Malware Externí zdroje dat sběrná místa typu ShadowServer, DShield, N6, UCEPROTECT... systém Warden (http://warden.cesnet.cz) může být první indikátor něčeho nezdravého v infrastruktuře (DÚ) zaměření monitoringu analýza naskladněných dat
Závěr Bezpečnostní infrastruktura síťové sondy na perimetru sítě CESNET2 dedikované sondy, IPFIXcol, analýza Nemea FTAS a G3 plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur IDS systémy, Honeypoty Systémy pro sdílení a korelaci dat Warden, http://warden.cesnet.cz/ Forenzní laboratoř (FLAB) forenzní analýza penetrační testy, testy odolnosti Gramotné a spolupracující správce: CESNET CERTS, PSS, NOC
Závěr Bezpečnostní infrastruktura síťové sondy na perimetru sítě CESNET2 dedikované sondy, IPFIXcol, analýza Nemea FTAS a G3 plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur IDS systémy, Honeypoty Systémy pro sdílení a korelaci dat Warden, http://warden.cesnet.cz/ Forenzní laboratoř (FLAB) forenzní analýza penetrační testy, testy odolnosti Gramotné a spolupracující správce: CESNET CERTS, PSS, NOC Gramotné a spolupracující uživatele
Děkuji za pozornost. CESNET Day o bezpečnosti, 8. 10. 2014, Praha